在一次供应链攻击中，安装在多达 3.6 万个 WordPress 网站上的插件被植入了后门。受影响的扩展包括：Social Warfare（安装量三万），BLAZE Retail Widget（10）、Wrapper Link Elementor（一千）、Contact Form 7 Multi-Step Addon（七百）、Simply Show Hooks（四千），这些扩展都托管在官网 WordPress.org 上，过去一周未知攻击者在更新中加入了恶意功能，能自动创建管理权限账号，允许攻击者完全控制相关网站。安全公司 Wordfence 的研究人员称，恶意后门的植入最早发生在 6 月 21 日。任何安装了这些插件的人都应该立即卸载，并检查是否有最近创建的管理员账号。

https://arstechnica.com/security/2024/06/supply-chain-attack-on-wordpress-plugins-affects-as-many-as-36000-sites/
https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-leads-to-5-maliciously-compromised-wordpress-plugins/